吉林省电子技术研究所信息安全风险评估服务采购项目招标公告

1、招标条件

吉林省电子技术研究所信息安全风险评估服务采购项目，资金来源为自有资金，项目已具备招标条件，现对该项目建设进行公开招标。

2、项目概况与招标范围

2.1项目名称：吉林省电子技术研究所信息安全风险评估服务采购项目

2.2招标编号：20251202

2.3招标范围：信息安全风险评估全过程工作流程梳理与标准化模板开发，三个核心业务系统的风险评估辅助实施（详见招标文件项目招标需求）

2.4服务期限：合同订立后60天。

2.5服务地点：长春市新民大街1381号。

2.6质量要求：符合国家及行业规定的合格标准。

2.7资金来源：自筹资金。

2.8资金落实情况：已落实 。

2.9招标控制价（采购预算）：26万元。

3、投标人资格要求

3.1投标人须符合《中华人民共和国政府采购法》第二十二条的规定：

3.1.1具有独立承担民事责任的能力

3.1.2具有良好的商业信誉和健全的财务会计制度

3.1.3具有履行合同所必需的设备和专业技术能力

3.1.4有依法缴纳税收和社会保障资金的良好记录

3.1.5参加政府采购活动前三年内，在经营活动中没有重大违法记录

3.2投标人是在中华人民共和国境内注册的具有相应营业范围的法人单位或其他组织，并在人员、设备、资金等方面具备相应的供货能力。

3.3投标人在“信用中国”网站（www.creditchina.gov.cn）或中国政府采购网（www.ccgp.gov.cn）信用良好记录（详见财库【2016】125号）。

3.4投标人在“中国裁判文书网”（www.wenshu.court.gov.cn）查询无行贿档案证明。

3.5拒绝列入政府取消投标资格记录期间的企业投标。

3.6本次招标不接受联合体投标。

4、投标报名、招标文件的获取及投标文件的递交

4.1投标报名

本项目采用网络投标报名方式，邮箱534659786@qq.com，报名截止时间2025年12月4日16时30分。

4.2招标文件的获取

本项目公告内容中包含招标文件。

4.3递交标书时需提供有关资料（投标文件一正两副胶装密封，所有资料均须提供原件扫描件，并加盖公章。）：

4.3.1新版营业执照副本

4.3.2法人授权委托书及被授权人身份证

4.3.3投标人在“信用中国”网站（www.creditchina.gov.cn）或中国政府采购网（www.ccgp.gov.cn）信用良好记录

4.3.4投标人提供在“中国裁判文书网”（www.wenshu.court.gov.cn）查询无行贿档案证明

4.3.5未被政府列入取消投标资格期限内的企业或个人参加投标的由法人签字或盖章并加盖公章的承诺书

4.3.6参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明，由法人签字或盖章。

4.3.7项目方案：需列明是否能够实现招标需求文件中所列技术指标要求，并针对每项技术要求提供简要设计方案。

4.4投标文件递交的截止时间2025年12月9日9时30分，投标文件递交地点：吉林省长春市新民大街1381号3楼会议室。

4.5开标时间为2025年12月9日9时30分。开标方式：投标时间截止后由吉林省电子技术研究所组织相关技术人员进行评标。

4.6合格供应商的产生：按评标方法排序第一为确认中标供应商。

4.7逾期送达的投标文件，招标人不予受理。

5、联系方式

联系人：李雨坤 联系电话：13364506121

6、项目招标需求

一、服务要求

（1）服务性质为辅助性技术支持，不得替代采购方做出最终风险决策。

（2）工作流程梳理要求：包含但不限于：全流程阶段划分（评估准备阶段、风险识别阶段、风险分析阶段、风险评价阶段等）、各阶段输入/输出清单、工作目标、过程描述及工作内容。该流程需经采购方书面确认后，作为后续三个系统评估的统一执行依据。

（3）模板开发要求：交付一套可复用的风险评估模板，包括但不限于：风险评估实施方案、资产调研表、资产识别表、安全配置核查表、漏洞记录格式/漏洞扫描报告、已有防护措施确认表、渗透测试记录、威胁列表、脆弱性识别表、风险分析表、风险评估报告（初稿）结构框架。

（4）根据依据《GB/T20984-2022信息安全技术 信息安全风险评估方法》等技术标准，开展信息安全风险评估工作。

（5）系统调研：包含但不限于通过信息系统资产调研、终端用户调研、技术人员安全意识调研、普通人员安全意识调研、网络架构情况调研等全面掌握系统现状。

（6）资产识别：对信息系统的资产进行识别、分类、赋值和分级，最后根据资产重要性程度判断确定系统的资产重要性。

（7）安全配置核查：包含但不限于包括主机信息核查、访问控制核查、网络安全配置核查、系统和应用程序配置核查、数据保护核查、日志和审计信息核查、物理安全核查、应急响应与恢复核查、第三方风险管理核查等。

（8）安全漏洞扫描：包含但不限于通过评估工具以本地、远程扫描的方式对评估范围内的终端设备进行安全扫描，查找主机、应用、网络存在的安全风险和漏洞等。

（9）渗透测试：模拟内部人员或外部人员，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用，并判定相关安全漏洞的真实性及其风险级别。。

（10）已有安全措施确认：包含但不限于评估已有安全措施有效性，是否真正降低了系统的脆弱性，抵御了威胁。

（11）威胁识别和赋值：包含但不限于威胁源分析、威胁行为能力和频率分析、威胁赋值。

（12）脆弱性识别和赋值：以资产为核心，从技术和管理两个维度识别安全缺陷，评估各脆弱点被威胁利用的难易程度及其可能造成的潜在影响，分别进行量化赋值。

（13）综合风险分析：通过被评估对象所涉及的资产、威胁、脆弱性和安全措施识别赋值，计算得出安全事件发生的可能性和安全事件造成的损失，进而得到被评估对象的风险值，对风险情况进行综合分析与评价。

二、交付物清单

通用交付物（1套）：

全套标准化风险评估模板（电子版+可编辑格式）

按三个系统分别交付：

（1）、《资产识别表》

（2）、《资产调研表》

（3）、《威胁列表》

（4）、《已有安全防护措施》

（5）、《漏洞扫描报告》

（6）、《安全配置核查表》

（7）、《脆弱性识别表》

（8）、《风险分析表》

7、评标方法

7.1 评审组将只对投标人资格审查合格且提交完整投标资料和最后报价的投标人进行详细评审。

7.2 本项目采用综合评分法评标，评审组将按下述标准评定成交供应商，并对成交候选供应商进行排序。响应文件满足招标文件全部实质性要求且按评审因素的量化指标评审得分最高的投标人为成交候选投标人。

7.3 评分采用百分制，评分项目、分值及评分标准如下：

序号	评分项目	基准分值	评分标准
1	价格因素	30分	以按照所有合格投标人的评标价的最低价作为评分基准价。投标人的价格分按下式计算：价格分=(评分基准价/评标价) X 30。
2	商务因素	5分	所提供招标项目技术需求所列项目相关方法证明文件，公司内部管理体系制度、ISO9000 质量管理体系认证、ISO27000 信息安全管理体系认证、ISO20000 信息技术服务管理体系认证每提供一份加1分，最高5分。
3	业绩因素	5分	投标人提供自2022年1月1日至今的安全服务类合同复印件，并加盖投标人公章，每提供一份加1分，最高5分。
4	技术因素	60分	根据所提供设计方案与招标需求中技术指标匹配程度考核，优的得30-50分；良的得20-39分；一般的得10-19分；差的得0-9分。

吉林省电子技术研究所

                                              2025年12月2日